Theo các báo cáo an ninh mạng gần đây và Báo cáo An ninh mạng của NCS, số lượng các cuộc tấn công, đặc biệt là tấn công chuỗi cung ứng tại Việt Nam đang gia tăng đáng kể. Tin tặc liên tục thay đổi chiến thuật, từ cài mã độc vào phần mềm, thực hiện các chiến dịch lừa đảo (phishing) cho đến tấn công từ chối dịch vụ (DDoS), khiến bức tranh an ninh mạng ngày càng trở nên đáng báo động.

Thực tế triển khai cho thấy, đội ngũ Redteam của NCS đã tiến hành thử nghiệm PoC tại một số tổ chức tại Việt Nam và thu được kết quả đáng lo ngại: chỉ trong thời gian rất  ngắn, chúng tôi đã có thể thâm nhập thành công vào hệ thống—nhanh hơn đáng kể so với các cuộc tấn công Redteam truyền thống. Điều này minh chứng rõ ràng mức độ nguy hiểm của các cuộc tấn công chuỗi cung ứng, đồng thời cho thấy hệ thống bảo mật của nhiều tổ chức vẫn chưa đủ vững chắc trước loại hình tấn công tinh vi này.

1. Tấn công chuỗi cung ứng là gì?

Tấn công chuỗi cung ứng (Supply Chain Attack) là chiến thuật mà tin tặc lợi dụng lỗ hổng trong chuỗi cung ứng của một tổ chức để xâm nhập hệ thống. Thay vì tấn công trực tiếp vào mục tiêu chính, kẻ tấn công khai thác các mối quan hệ tin cậy giữa tổ chức đó với nhà cung cấp, đối tác hoặc bên thứ ba có kết nối gián tiếp. Khi một mắt xích bị xâm phạm, toàn bộ hệ thống của tổ chức có thể bị đe dọa, vượt qua nhiều cơ chế phòng thủ truyền thống.

2. Những cuộc tấn công chuỗi cung ứng nghiêm trọng

Trong thập kỷ qua, hàng loạt vụ tấn công chuỗi cung ứng đã làm rung chuyển ngành an ninh mạng, minh chứng cho sự nguy hiểm của loại hình tấn công này. Dưới đây là những sự cố tiêu biểu:

Vụ tấn công 3CX (2023)

Một trong những sự cố điển hình là vụ tấn công vào ứng dụng VoIP 3CX vào năm 2023. Cả hai phiên bản Windows và macOS của 3CXDesktopApp—sản phẩm của 3CX Communications—đều bị tin tặc cài mã độc, khởi đầu cho chiến dịch tấn công quy mô lớn mang tên “SmoothOperator.” Hơn 600.000 doanh nghiệp trên toàn cầu đã bị ảnh hưởng, và vụ việc được truy vết đến nhóm Lazarus của Triều Tiên (CVE-2023-29059).

 Lỗ hổng XZ Utils (2024)

Một trong những vụ tấn công chuỗi cung ứng nghiêm trọng nhất gần đây là vụ cài backdoor vào XZ Utils—công cụ nén dữ liệu phổ biến. Mã độc được chèn vào thư viện liblzma trong XZ Utils phiên bản 5.6.0 và 5.6.1, cho phép kẻ tấn công kiểm soát từ xa nhiều hệ thống quan trọng, bao gồm cả OpenSSH (CVE-2024-30942).

Tấn công SolarWinds

Năm 2023, một loạt lỗ hổng nghiêm trọng trong phần mềm chuyển tệp MOVEit đã trở thành tâm điểm của các cuộc tấn công mạng, đặc biệt là do nhóm ransomware Cl0p khai thác. Các lỗ hổng SQL Injection nghiêm trọng, bao gồm CVE-2023-34362 và CVE-2023-35036, cho phép kẻ tấn công thực thi mã độc, xâm nhập hệ thống, leo thang đặc quyền và đánh cắp dữ liệu nhạy cảm. Theo thống kê, hơn 2.500 máy chủ trên toàn cầu đã bị ảnh hưởng, gây ra các vụ vi phạm dữ liệu quy mô lớn.

Cuộc tấn công đặc biệt tác động mạnh đến các ngành như chăm sóc sức khỏe và tài chính, nơi dữ liệu cá nhân và tài chính bị đánh cắp và sử dụng cho mục đích tống tiền. Nhóm Cl0p đã thực hiện chiến dịch ransomware-as-a-service (RaaS), đòi tiền chuộc từ các tổ chức bị ảnh hưởng để ngăn chặn rò rỉ dữ liệu.

Vụ việc này tiếp tục là lời cảnh báo về nguy cơ gia tăng từ các cuộc tấn công chuỗi cung ứng, nhấn mạnh tầm quan trọng của các biện pháp an ninh mạng mạnh mẽ, quản lý lỗ hổng phần mềm chủ động, cũng như việc giám sát và kiểm soát nhà cung cấp bên thứ ba nhằm giảm thiểu rủi ro bị khai thác.

ASUS Live Utility Attack

Đầu năm 2022, Okta báo cáo sự cố bảo mật do nhà cung cấp dịch vụ hỗ trợ bên thứ ba bị xâm phạm. Kẻ tấn công đã lợi dụng điểm yếu này để truy cập hệ thống nội bộ của Okta, đe dọa an toàn của nhiều khách hàng. Vụ việc nhấn mạnh rủi ro từ chuỗi cung ứng và tầm quan trọng của việc bảo vệ các mối quan hệ đối tác.

Những sự cố này minh họa cho các phương pháp đa dạng mà kẻ tấn công sử dụng để xâm phạm chuỗi cung ứng, từ khai thác lỗ hổng phần mềm đến xâm nhập vào các nhà cung cấp dịch vụ của bên thứ ba. Tác động của các cuộc tấn công này bao gồm từ sự gián đoạn và mất mát tài chính trên diện rộng đến thiệt hại về danh tiếng lâu dài. Bài học rút ra từ những trường hợp đáng chú ý này nhấn mạnh tầm quan trọng của sự cảnh giác, quản lý rủi ro chủ động và cải tiến liên tục trong các hoạt động an ninh mạng.

3. Những thách thức đối với an ninh mạng trong chuỗi cung ứng

Quá trình phát triển và triển khai phần mềm phụ thuộc nhiều vào các thành phần của bên thứ ba. Các phương pháp phát triển phần mềm hiện đại thường tích hợp các thành phần có sẵn như API, thư viện và mã nguồn mở vào ứng dụng độc quyền. Cách tiếp cận này giúp đẩy nhanh tiến độ và giảm chi phí, nhưng cũng mang lại những rủi ro bảo mật đáng kể.

Theo nghiên cứu trong ngành, một dự án phần mềm trung bình có tới 203 thành phần phụ thuộc. Những thành phần này được lấy từ nhiều nhà cung cấp bên ngoài và cộng đồng mã nguồn mở, tạo ra một mạng lưới phức tạp các thành phần liên kết với nhau. Điều này đồng nghĩa với việc nếu một thành phần có lỗ hổng bảo mật, toàn bộ dự án phần mềm có thể bị ảnh hưởng.

Sự phổ biến của các thành phần bên thứ ba trong dự án phần mềm khiến các cuộc tấn công chuỗi cung ứng trở nên đặc biệt nguy hiểm. Báo cáo Global Security Attitude Survey của CrowdStrike đã chỉ ra những mối lo ngại ngày càng tăng và khoảng cách trong khả năng ứng phó của các tổ chức:

• 84% chuyên gia bảo mật tin rằng các cuộc tấn công chuỗi cung ứng phần mềm sẽ ngày càng gia tăng, nhấn mạnh mức độ đe dọa nghiêm trọng.
• Chỉ 36% tổ chức đã kiểm tra toàn bộ nhà cung cấp của họ về vấn đề bảo mật trong năm qua, cho thấy sự thiếu sót trong việc duy trì các tiêu chuẩn bảo mật nghiêm ngặt trên toàn chuỗi cung ứng.
• 45% tổ chức đã từng đối mặt với một cuộc tấn công chuỗi cung ứng trong năm qua, minh chứng cho tần suất và tác động của các cuộc tấn công này.
• 59% tổ chức không có chiến lược ứng phó khi xảy ra cuộc tấn công chuỗi cung ứng đầu tiên, cho thấy sự thiếu chuẩn bị và khả năng phục hồi trước các mối đe dọa này.

Một trong những thách thức lớn nhất là sự thiếu hụt nhân lực chuyên trách về an ninh mạng. Khảo sát của Hiệp hội An ninh mạng quốc gia năm 2024 cho thấy hơn 20,06% đơn vị không có nhân sự chuyên trách, và 35,56% chỉ có không quá 5 người phụ trách, con số này quá nhỏ so với yêu cầu thực tế. Việc thiếu hụt này dẫn đến quá tải trong quản lý rủi ro và giảm hiệu quả phản ứng khi xảy ra sự cố.

Ngoài ra, việc phụ thuộc vào các nhà cung cấp bên thứ ba cũng tạo ra lỗ hổng cho chuỗi cung ứng. Các cuộc tấn công chuỗi cung ứng thường khai thác lỗ hổng trong mạng lưới kết nối giữa các nhà cung cấp, gây ra hậu quả lan rộng và tác động đến nhiều tổ chức trong chuỗi.

Hơn nữa, tỷ lệ sử dụng sản phẩm và dịch vụ an ninh mạng từ các nhà cung cấp Việt Nam còn hạn chế, chỉ đạt 24,77%. Điều này cho thấy tâm lý thiếu tin tưởng và sự phụ thuộc vào công nghệ nước ngoài, đặt ra thách thức trong việc phát triển hệ sinh thái an ninh mạng nội địa.

4. Xu Hướng Hiện Tại của Các Cuộc Tấn Công Chuỗi Cung Ứng

Trong những năm gần đây, các cuộc tấn công chuỗi cung ứng ngày càng gia tăng cả về tần suất lẫn mức độ tinh vi. Các tội phạm mạng và các nhóm tấn công do nhà nước hậu thuẫn đã nhận ra hiệu quả của việc nhắm vào chuỗi cung ứng để tạo ra tác động rộng lớn và vượt qua các hệ thống phòng thủ trực tiếp. Sự tiến hóa của các cuộc tấn công này được thúc đẩy bởi nhiều yếu tố:

• Sự phụ thuộc ngày càng lớn vào các thành phần bên thứ ba: Các tổ chức hiện đại sử dụng rộng rãi phần mềm, phần cứng và dịch vụ từ bên thứ ba, mở rộng bề mặt tấn công và tạo thêm nhiều điểm xâm nhập cho kẻ tấn công.
• Sự kết nối và tích hợp sâu rộng hơn: Quá trình chuyển đổi số và xu hướng tích hợp liền mạch giữa các hệ thống đã vô tình làm cho chuỗi cung ứng dễ bị khai thác hơn.
• Kỹ thuật tấn công tiên tiến: Các nhóm tấn công đang sử dụng các phương thức tinh vi hơn, bao gồm Advanced Persistent Threats (APTs), để thực hiện các cuộc tấn công chuỗi cung ứng phức tạp.

Sự phát triển nhanh chóng của các cuộc tấn công chuỗi cung ứng đã khiến chúng trở thành mối quan tâm hàng đầu của các chuyên gia an ninh mạng trên toàn cầu, nhấn mạnh nhu cầu tăng cường cảnh giác và áp dụng các biện pháp bảo mật mạnh mẽ hơn.

Các Ngành và Lĩnh Vực Bị Nhắm Đến

Các cuộc tấn công chuỗi cung ứng không giới hạn trong một lĩnh vực cụ thể mà thường nhắm vào các ngành công nghiệp có mức độ phụ thuộc cao vào các thành phần và dịch vụ bên thứ ba. Một số lĩnh vực bị tấn công nhiều nhất bao gồm:

• Công nghệ thông tin (IT): Các công ty IT thường sử dụng nhiều phần mềm và phần cứng bên thứ ba, khiến họ trở thành mục tiêu lý tưởng. Cuộc tấn công SolarWinds là một ví dụ điển hình, gây ảnh hưởng đến hàng loạt công ty IT và khách hàng của họ.
• Chăm sóc sức khỏe: Ngành y tế dựa vào nhiều ứng dụng và thiết bị y tế của bên thứ ba, vốn tiềm ẩn nhiều lỗ hổng bảo mật. Các cuộc tấn công có thể làm gián đoạn dịch vụ quan trọng và đánh cắp dữ liệu bệnh nhân nhạy cảm.
• Sản xuất: Quy trình sản xuất phụ thuộc vào phần mềm và phần cứng chuyên dụng từ nhiều nhà cung cấp khác nhau. Một cuộc tấn công chuỗi cung ứng có thể gây gián đoạn nghiêm trọng trong sản xuất và đánh cắp tài sản trí tuệ.
• Tài chính: Các tổ chức tài chính sử dụng nhiều dịch vụ bên thứ ba để vận hành và tương tác với khách hàng, khiến họ trở thành mục tiêu hấp dẫn của các cuộc tấn công nhằm mục đích tài chính.
• Đơn vị trọng yếu: Các cơ quan trọng yếu có một mạng lưới nhà thầu và nhà cung cấp phức tạp, tạo cơ hội cho các cuộc tấn công nhắm vào an ninh hoặc hoạt động gián điệp.

5. Chiến lược giảm thiểu rủi ro trước các cuộc tấn công chuỗi cung ứng